News

Ransomware: il virus del riscatto

Il Ransomware, un Virus (o ancora meglio un Malware), che blocca i computer per realizzare un’estorsione, è oggi una delle più grandi minacce informatiche che le organizzazioni di tutto il mondo devono affrontare.

Dall’inizio della pandemia, il numero di attacchi nel mondo è aumentato vertiginosamente. Secondo le rilevazioni statistiche della Polizia Postale, nel 2020 gli attacchi in Italia contro le infrastrutture critiche (danneggiamento, interruzione del servizio, furto dei dati a scopo estorsivo) sono cresciuti del 246%.

A livello mondiale, il 25% degli attacchi Ransomware ha colpito principalmente le aziende manifatturiere, seguite dai servizi professionali al 17% e dalle organizzazioni governative al 13%. Sfruttando i timori e il senso di isolamento provocato dal Covid e dal rapido passaggio verso un uso sempre più spinto delle tecnologie digitali, anche le scuole e le università sono state duramente colpite.

Gli effetti della pandemia hanno infatti creato l’ambiente perfetto per il fiorire di questa tipologia di attacchi. I criminali informatici sono stati molto rapidi nello sfruttare qualsiasi lacuna trovata nella sicurezza, e nel realizzare un incredibile numero di attacchi Phishing a tema Covid 19.

Molte organizzazioni si sono così improvvisamente ritrovate oggetto di un attacco Ransomware e della conseguente richiesta di riscatto.

Le modalità con cui avviene un attacco non sono sempre uguali. In molti casi l’attacco inizia con l’acquisto nel dark web di informazioni sensibili precedentemente rubate, come le password o le profilazioni di utenti. Informazioni fondamentali, utili a grandi e piccole organizzazioni criminali, per innescare un attacco in una specifica organizzazione e richiedere un riscatto. Riscatto che, secondo la società specializzata Coveware, è mediamente aumentato tra il primo e il secondo semestre del 2020 del 47%.

Ma che cos’è un Ramsoware?

Il Ransomware è un tipo di Malware che, crittografando i file, impedisce agli utenti di accedere ai sistemi informatici. Per poter sbloccare i sistemi è necessario pagare un riscatto. Il pagamento del riscatto viene solitamente richiesto in Bitcoin o in altre criptovalute difficili da rintracciare. I criminali cyber in genere assegnano una scadenza al pagamento del riscatto. Scaduta tale data il pagamento del riscatto verrà raddoppiato o, in alternativa, i file verranno bloccati in modo permanente.

Nel 2020, Sodinokibi (noto anche come REvil) è stato il tipo di Ransomware più attivo. La particolarità di questo Ransomware è il suo modello di business: Ransomware-as-a-Service (RaaS).

In pratica il Gruppo Revil mette a disposizione di terze parti criminali le infrastrutture, gli strumenti, il Ransomware e il relativo codice, ricevendo in cambio una percentuale (tra il 20/30%) dai riscatti estorti alle vittime.

Come può un Ransomware infettare un computer?

Esistono diversi modi in cui un Ransomware può infettare un computer.

Il modo più comune è tramite email di Phishing contenenti collegamenti o allegati dannosi. Una volta che si fa clic sul collegamento o si apre l’allegato, il Malware si installa sul sistema e inizia a crittografare i file.

Un Ransomware può anche essere distribuito tramite siti Web dannosi, dispositivi multimediali rimovibili infetti, APP di messaggistica, Social Network, ma anche sfruttando le vulnerabilità dei dispositivi con sistemi e software non aggiornati.

E’ possibile proteggersi da un attacco Ransomware?

Per proteggersi è certamente utile seguire alcune buone regole:

  • Effettuate i backup con regolarità – I backup devono essere eseguiti regolarmente in modo da ridurre al minimo la perdita di dati in caso di un attacco Ransomware. La best practise più conosciuta sui backup consiglia la regola del 3-2-1: con 3 copie dei tuoi dati in 2 diversi formati di archiviazione, e almeno 1 copia in un’altra sede. In caso di attacco, sarà così possibile recuperare rapidamente i dati senza necessità di pagare alcun riscatto.
  • Riconoscere un attacco Phishing: Gli attacchi Ransomware dipendono in gran parte dall’apertura di un messaggio di Phishing da parte di un utente. Per proteggersi da queste minacce, è quindi fondamentale per le organizzazione coinvolgere tutta la forza lavoro in efficaci percorsi formativi di Cyber Security Awareness. Per aumentare la consapevolezza e formare il personale nel riconoscere ed evitare il Phishing, il percorso formativo deve includere un training di simulazione anti-Phishing automatizzato e adattivo.
  • Non esporre i propri dati sensibili: I criminali cyber usano spesso, per ottenere l’accesso ai sistemi e distribuire così Ransomware, le credenziali rubate ai dipendenti. Le credenziali sono spesso frutto di precedenti attacchi Phishing o di violazioni di dati. E’ importante ricordare che fornire i propri dati sensibili in rete può essere molto rischioso, sopratutto se non si è assolutamente certi della legittimità della richiesta. Abilitare l’autenticazione a più fattori può impedire ad un hacker di accedere ad un sistema, anche se dispone delle credenziali di un utente. Cambiare le password a determinati intervalli di tempo, ed evitare di replicare la stessa password su vari account, sono altre due pratiche virtuose, che mettono i “bastoni tra le ruote” delle organizzazioni criminali.
  • Mantenere sempre aggiornati i software e i sistemi operativi: Gli hacker sfruttano frequentemente le vulnerabilità dei sistemi operativi e delle applicazioni per distribuire i Ransomware. Applicare gli aggiornamenti non appena vengono rilasciati è quindi fondamentale. Questo consente di mantenere i sistemi e le APP aggiornati, stabili e al sicuro da malware e da altre minacce.